ტიპისაკლასო სასწავლო
დარეგისტრირება

CAST 613 ტრენინგი გორგონში

აღწერა

აუდიტორია და წინაპირობები

კურსის შინაარსი

განრიგი და მოსაკრებლები

სერტიფიკაციის

კორპორატიული ვებ აპლიკაციის / ვებ-გვერდის Hacking და გაბედული - CAST 613 ტრენინგი

Malware, რომ კორუმპირებული კომპიუტერის კომპიუტერები შეიძლება divulge FTP რწმუნებათა სიგელები ან ადმინისტრატორის რწმუნებათა სიგელები. ამ რწმუნებათა სიგელები შეიძლება გამოყენებულ იქნას ვებ-სერვერზე, ვებ-გვერდზე და სხვა რესურსებზე კომპანიის ქსელში. ეს კურსი მიზნად ისახავს დამპყრობლის ქმედებებს ქსელის უსაფრთხოების სისუსტეებზე, ჩვეულებრივი რისკების გარეშე. ძალიან მნიშვნელოვანია, რომ დაიცვას თქვენი მონაცემები და სისტემა, როგორც გარჩევაში თავდასხმები შეიძლება დაზიანდეს კომპანიის რეპუტაცია იმ წერტილამდე, რომ მათ დაკარგონ შემოსავალი და მომხმარებლები.

მიზნები

  • არასწორი პაროლი შენახვის დადგენა
  • გამოცდა რისკებს "მახსოვს" ფუნქცია
  • გაუგებარია მონაცემები და სანიტარიზაცია
  • უსინათლო SQL ინექცია
  • შეყვანის საჩივრების დანერგვა
  • მესმის XSS და გამომავალი კოდირება
  • ხელახლა ამოწურეთ ძირითადი ქმედებების დაწყებამდე
  • ტესტი დამოწმებისათვის უხეში ძალისა
  • სათესლე მონაცემები ინექციის გზით.
  • ავტომატური თავდასხმების Havij

განკუთვნილია აუდიტორია

თუ წარსულში გაქვთ უსაფრთხო კოდირების კურსები, შეიძლება ფიქრობთ, რომ ეს იგივე იქნება. ჭეშმარიტებისგან ვერაფერი ვერ იქნება. ეს კურსი სრულიად განსხვავებული მიდგომაა. ყველაზე დეველოპერები გითხრათ, რომ თუ ვიცოდი, თუ როგორ ჰაკერების შეეძლო შემოსული, როგორც წესი, ადვილად დაფიქსირება. ეს მხოლოდ ის არის. დეველოპერები არასდროს ცდილობდნენ დაარღვიონ საკუთარი კოდი ან სხვისი კოდი. ალბათ მათ არ აქვთ უნარი ამის გაკეთება. განა ეს მხოლოდ პატიოსანი პიროვნებაა? ალბათ, მაგრამ დღევანდელ მსოფლიოში, რომ არ არის კარგი, მაგრამ ძალიან ცუდი რამ. თქვენ უნდა იცოდეთ ის, რაც შეიძლება მოგეჩვენოთ, ან ვერ დაიცავ თავს. ჰაკერების რეალურად ძალიან მარტივია, რომ ისინი მხოლოდ საჭიროა იპოვონ X- ის ხვრელი. დეველოპერი ყველა ხვრელს უნდა დაამატოთ. დეველოპერი უნდა შეინარჩუნოს უახლესი უსაფრთხოების საფრთხეებთან.ზოგიერთი დეველოპერები შეიძლება ამტკიცებდნენ, რომ ეს არ არის დეველოპერის სამუშაო, რათა უზრუნველყოს საწარმოს, ეს არის უსაფრთხოების დეპარტამენტის სამსახური. ეს არის სუფთა ნაგავი. თითოეულ მათგანს აქვს კორპორატიული გარემოს დაცვა. თითოეული პასუხისმგებელია ამ პასუხისმგებლობას. მიუხედავად იმისა, რომ თითის მიუთითებს მიდის ჰაკერი სარგებლობს თავად ყველა ინტელექტუალური საკუთრების, ადამიანური რესურსების ინფორმაცია, ან არაფერი მას შეუძლია monetize.This კურსი განკუთვნილია ისე, თუ გესმით პროგრამირების ლოგიკა შეგიძლიათ ისარგებლოს ამ კურსს.

კურსის შინაარსი ხანგრძლივობა: 3 დღე

1. შესავალი

  • კურსის შესახებ და ავტორი ტიმ პიერსონი
  • რატომ შევიმუშავე ჰეინინგი და კორპორაციული ვებსაიტი / WebApp: დეველოპერის პერსპექტივა
  • დაუცველი ვებ-გვერდის გაცნობა
  • გამოყენება ძალიან ძვირადღირებული Pen Testing ინსტრუმენტები მაღალი priced ინსტრუმენტები, როგორიცაა Firefox / Firebug ან Chrome- ის დეველოპერი ინსტრუმენტები (გააჩნია Chrome).
  • გაცნობა რამდენიმე უფასო Add-ons Chrome და Firefox, იყო თუ არა ნახსენები ისინი თავისუფალი?
  • მონიტორინგი და შედგენა მოთხოვნის გამოყენებით საერთო მარიონეტული, როგორიცაა Fiddler, Paros ან Burp Suite.
  • შეცვალონ თხოვნა და რეაგირება Fiddler- ში, რათა შეიცვალოს ის, თუ რა გადის და რა ხდება ბროუზერის წინ.
  • ბრაუზერი უბრალოდ კითხულობს კოდი ზემოდან ქვემოდან. იდეა არ არის კარგი, ცუდი, ბოროტი ან სხვაგვარად.
  • Surfing ვებ ჰგავს მიცემა ყველა ვებ თქვენ გადასვლა Shell თქვენს ყუთში!

2. კრიპტოგრაფია decrypted

  • შესავალი
  • შიფრაცია - განმარტება
  • შიფრაციის ალგორითმი
  • სიმეტრიული შიფრაცია
  • ასიმეტრიული შიფრაცია
  • კრეკი დრო
  • პაროლი პოლიტიკა და რატომ უბრალოდ არ მუშაობს!
  • არ გამოიყენოთ Pass სიტყვა ყოველი ისევ! გამოიყენეთ უღელტეხილი ფრაზა ნაცვლად!
  • Hashing
  • Hash Collisions
  • საერთო Hash ალგორითმები
  • ციფრული ხელმოწერები - დაამტკიცეთ, ვინ ვართ ჩვენ.
  • ციფრული სერტიფიკატის დონეები - ეს მოდის ქვემოთ ჯდება!
  • მუშაობის SSL სერთიფიკატები.
  • ჩვენ მჯერა რა ვიცით - True Story.
  • IPSec - იქნება ეს ყველაფერი?
  • საზოგადოებრივი საკვანძო ინფრასტრუქტურა
  • HeartBleed - რა არის ყველა Hype? უნდა ვიზრუნოთ?
  • ლეპტოპი და პორტატული შიფრაცია: TrueCrypt - BYOB აქ არის ან მოდის!
  • შემაჯამებელი

3. ანგარიშის მენეჯმენტი - გასაღები ყველა?

  • შესავალი
  • გააზრება რამდენად მნიშვნელოვანია პაროლი ძალა და თავდასხმის ვექტორები
  • ჩემი საყვარელი Slide მსოფლიო
  • გავლით Monkey Wrench ტექნიკა!
  • პაროლების შეზღუდვა
  • ანგარიშის შექმნისას (რწმუნებათა სიგელების გადაცემის) უზრუნველყოფა
  • ანგარიში enumeration
  • პაროლის აღდგენის მეშვეობით მომსახურების გაუქმება
  • სწორად გადატვირთვის პროცესების უზრუნველყოფა
  • სირცხვილის კედელი - უბრალო ტექსტის დამნაშავეები
  • როგორ მიხვდე უსაფრთხო ვებ-გვერდს - ყველამ უნდა სცადოს მათი ოჯახი.
  • არასწორი პაროლი შენახვის დამყარება
  • "მახსოვს" ფუნქციაზე რისკების ტესტირება
  • ხელახლა ამოწურვამდე ძირითადი ქმედებები
  • ტესტირება ავტორიზაციისთვის უხეში ძალისა
  • შემაჯამებელი

4. პარამეტრი Diddling

  • შესავალი
  • საიდუმლო მონაცემების განსაზღვრა HTTP მოთხოვნის პარამეტრებში
  • აღების მოთხოვნა და მარტივი იარაღები გამოყენებით მანიპულირება პარამეტრების
  • მანიპულირება გამოყენების ლოგიკა მეშვეობით პარამეტრების
  • ტესტირება დაკარგული სერვერის მხარეს დადასტურებაა, თუ არ აკეთებთ ამას, როგორც ჩანს, რომელსაც fat kid უყურებს ტორტი!
  • გაგების მოდელი
  • მასობრივი დავალების შესრულება
  • HTTP ზმნის შეჩერება - რა არის სიტყვიერი? პოსტი, მიიღე და ა.შ. ისინი ურთიერთშემცვლელნი იყვნენ გაოცებული?
  • Fuzz ტესტირება - Spraying რომ ოთახი მოსწონს მეხანძრე ის sprays ცეცხლი მისი ცეცხლი შლანგი, შემდეგ კი თუ ეს Hiccups!
  • შემაჯამებელი

5. ტრანსპორტირება Layer Protection - უსაფრთხოება დროს სავალდებულო

  • შესავალი
  • სატრანსპორტო ფენის დაცვის სამი მიზანი
  • გაცნობა კაცი შუა თავდასხმა, და ჩვენ ყველა დაეცემა მსხვერპლი ყოველდღე!
  • მგრძნობიარე მონაცემების ტრანზიტის დაცვა და დასვენების დროს.
  • რისკის გაგზავნის Cookies მეტი არასაიმედო კავშირები
  • როგორ იტვირთება შესვლა ფორმების HTTP მეტი არის სარისკო
  • რა არის გამოსავალი? ყველგან? რაც შეეხება ოვერჰედის?
  • შერეული რეჟიმის გამოყენება
  • HSTS header
  • შემაჯამებელი

6. ჯვრის საიტის სკრიფტი (XSS) - სიმართლე მე მხოლოდ გავაკეთე, რაც მე განუცხადა

  • შესავალი
  • გაურკვეველი მონაცემები და სანიტარიზაცია
  • შეყვანის საჩივრების დანერგვა - შეინახეთ სუფთა
  • გააზრება XSS და გამომავალი კოდირება
  • გამოვლენის გამომავალი კოდირების - და გამოდის უკან!
  • XSS ტიპის XSS, ასახული, შენახული და DOM
  • გადმოწერის XSS მეშვეობით payload მიწოდება
  • ტესტირება მუდმივი XSSv რისკისთვის
  • X-XSS- ის დაცვის ჰედერი
  • შემაჯამებელი

7. Cookies - არა მხოლოდ Hansel და Gretel

  • შესავალი
  • Cookies 101 - ყველაფერი გინდა უნდოდა, მაგრამ ეშინოდა ვკითხო!
  • სესიის მენეჯმენტი - HTTP ჰგავს ალცჰეიმერის პაციენტის მსგავსად - ფილმის მსგავსად, პირველი ნომრები!
  • გაცნობა მხოლოდ Http, რა არის ისინი და რატომ უნდა გამოვიყენოთ ისინი?
  • გახსოვდეთ უსაფრთხო cookies. არ აყენებს Grandmas Cookies ჩაკეტილი Cookie Jar!
  • გათიშეთ cookies - ნამდვილად გვჭირდება ისინი?
  • დაბრკოლება დაბლოკვის გზით - ახლა არის იდეა!
  • რისკის შემცირება Cookie expiration - შეინახეთ იგი მოკლე!
  • სესიის ქუქი-ფაილების გამოყენება რისკის შემდგომი შემცირების მიზნით
  • შემაჯამებელი

8. შიდა შესრულების გამჟღავნება - რა ხდება შიგნით მხეციში

  • შესავალი
  • როგორ თავდამსხმელი ქმნის ვებ-გვერდს რისკის პროფილის, დარწმუნდით, რომ არ შეესაბამება ამ პროფილს.
  • სერვერი რეაგირების სათაურის გამჟღავნება - გვითხარით, როგორც ეს არის თუ არა ის, რაც არ აპირებ?
  • განთავსება რისკის საიტებზე - მიღების დარწმუნებული Yours არ არის ერთი მათგანი
  • HTTP თითის ანაბეჭდის სერვერები - განსაზღვრავს რა თქვენი WebApp WebSite გაშვებულია
  • გამჟღავნება მეშვეობით robots.txt - ვუთხრა სამყაროს, სადაც არ უნდა გამოიყურებოდეს!
  • რისკების HTML წყარო - რა თქვენი HTML ეუბნება ყველას, თუ არა ეს იცით თუ არა!
  • შიდა შეცდომის შეტყობინება გაჟონვა - შეცდომები, რომლებიც ამბობენ, რომ გზა ძალიან ბევრია!
  • ნაკლებობა წვდომის კონტროლის დიაგნოსტიკური მონაცემები - პირველი რამ Hackers სცადეთ დააყენოს მხედველობა Debug Mode
  • შემაჯამებელი

9. SQL ინჟექტორი - SQL ინჟექტორი- რა არის ბრძანება, რა არის მონაცემები?

  • განტოტვილი
  • გააზრება SQL ინექცია
  • ინექციური რისკების ტესტირება - "ძალიან მაღალი ფასებიანი ძვირადღირებული იარაღები, როგორიცაა Chrome და FireFox!"
  • ინექციის გზით მონაცემთა ბაზის სტრუქტურის აღმოჩენა
  • დაინფიცირების მონაცემები ინექციის გზით. მარტივად დაიბეჭოთ მთელი სქემები სწორი პირობებით.
  • ავტომატური თავდასხმები Havij
  • უსინათლო SQL ინექცია - როგორ უსინათლო ადამიანს შეუძლია იპოვოთ ხვრელები
  • უსაფრთხო აპლიკაციის დამუშავება
  • შემაჯამებელი

10. ჯვრის საიტის თავდასხმები - იგივე წარმოშობის პოლიტიკა. ყველას არღვევს, რატომ არ უნდა ჩვენ?

  • შესავალი
  • გაცნობა ჯვრის საიტი თავდასხმები - Leveraging უფლებამოსილების დამტკიცებული მომხმარებელი
  • ჯვარედინი საიტის ტესტირება მოითხოვდა გაყალბების რისკს
  • როლი საწინააღმდეგო გაყალბების tokens - რამდენიმე რამ, რაც ხელს შეუწყობს
  • ტესტირების ჯვარედინი საიტი მოითხოვოს ყალბი API- ების წინააღმდეგ
  • დაწევა clickjacking თავდასხმა - რა დაჭერით მაინც?
  • შემაჯამებელი

გთხოვთ მოგვწეროთ info@itstechschool.com და დაგვიკავშირდით + 91-9870480053 კურსის ფასი და სერტიფიცირების ღირებულება, გრაფიკი და ადგილმდებარეობა

დავწერე კითხვა

სერტიფიკაციის

დამატებითი ინფორმაციისთვის გთხოვთ დაგვიკავშირდით.


მიმოხილვა